Renard Argenté cible l’Inde avec des pièges de phishing sur le thème des impôts
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un groupe APT chinois appelé Silver Fox mène une campagne de phishing sur le thème de la fiscalité contre des entités indiennes. L’e-mail initial contient un PDF qui dirige les victimes vers un domaine malveillant et déclenche un téléchargement d’un fichier ZIP. Le ZIP contient un installateur NSIS qui dépose Thunder.exe et un libexpat.dll malveillant qui réalise un détournement de DLL, des vérifications anti-analyse et charge un shellcode chiffré. La charge utile finale est un Valley RAT qui reçoit sa configuration d’une infrastructure C2 multi-niveaux.
Enquête
Le rapport détaille quatre étapes : (1) livraison d’un ZIP via un leurre PDF, (2) exécution d’un installateur NSIS qui dépose Thunder.exe et libexpat.dll, (3) un chargeur de shellcode généré par Donut qui s’injecte dans explorer.exe, et (4) déploiement de Valley RAT avec persistance basée sur le registre et plugins modulaires. L’analyse inclut un examen statique et dynamique des binaires, une énumération des domaines C2, et une cartographie des techniques ATT&CK.
Atténuation
Les défenseurs doivent surveiller les binaires signés chargeant des DLL non signées depuis des emplacements temporaires, les écritures de registre sous HKCUConsole, et la création anormale de mémoire PAGE_EXECUTE_READWRITE dans explorer.exe. Bloquer les domaines et IPs C2 connus, et détecter le comportement de repli multi-niveaux réduira l’exposition. Implémentez un contrôle stricte des applications et la détection d’évasion de sandbox pour arrêter l’installateur NSIS initial.
Réponse
Lorsqu’un indicateur est observé, isolez l’hôte affecté, collectez la mémoire volatile pour l’analyse de l’injection de processus, et recherchez les clés de registre et plugins Valley RAT. Bloquez toute infrastructure C2 identifiée et réinitialisez les identifiants compromis. Réalisez une revue légale complète pour identifier d’éventuels plugins additionnels ou outils de déplacement latéral.
Flux d’attaque
Détections
Points de Persistance Possibles [ASEPs – Hive Logiciel/NTUSER] (via événement de registre)
Voir
Commande et Contrôle Suspects par Requête DNS de Domaine de Premier Niveau (TLD) Inhabituel (via dns)
Voir
Processus Suspect sans Arguments (via ligne de commande)
Voir
IOC (SourceIP) à détecter : Silver Fox cible l’Inde en utilisant des leurres de phishing sur le thème de la fiscalité
Voir
IOC (HashSha256) à détecter : Silver Fox cible l’Inde en utilisant des leurres de phishing sur le thème de la fiscalité
Voir
IOC (DestinationIP) à détecter : Silver Fox cible l’Inde en utilisant des leurres de phishing sur le thème de la fiscalité
Voir
Détection du Détournement de DLL via Thunder.exe et Injection de Processus dans Explorer.exe [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : Le Contrôle Préalable de Télémétrie & Base de Référence doit avoir été passé.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Les exemples abstraits ou non liés entraîneront des erreurs de diagnostic.
-
Narratif de l’Attaque & Commandes :
Un adversaire livre un DLL malveillant aux côtés d’un “Thunder.exe” déposé sur%TEMP%répertoire de l’utilisateur. Pour éviter la suspicion de l’utilisateur, la charge utile est lancée viaexplorer.exeprocessus déjà en cours d’exécution à l’aide de l’API WindowsShellExecute, ce qui entraîne un événement de création de processus oùexplorer.exeapparaît comme le parent. LeThunder.exeexécutable malveillant charge ensuite le DLL malveillant (détournement de DLL) et injecte du shellcode dans leexplorer.exeprocessus (injection de processus), réalisant une exécution de code avec le jeton de l’utilisateur. -
Script de Test de Régression :
# ------------------------------------------------- # Script de régression pour déclencher la détection Sigma # ------------------------------------------------- # 1. Préparez un faux Thunder.exe (copie de notepad.exe) $tempDir = "$env:TEMP" $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe" Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force # 2. (Optionnel) Déposez un DLL malveillant à côté pour imiter le détournement $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll" # Pour la démonstration, nous créons simplement un fichier vide; dans un vrai test, ce serait un DLL fabriqué. New-Item -Path $malDll -ItemType File -Force | Out-Null # 3. Lancez Thunder.exe via explorer.exe en utilisant ShellExecute (simulé avec Start-Process -Verb RunAs) $explorer = (Get-Process -Name explorer).Id # Utilisez PowerShell pour démarrer le processus avec explorer en tant que parent (nécessite une API de bas niveau ; ici, nous approchons) Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null # 4. Attendez une courte période pour permettre aux journaux d'être générés Start-Sleep -Seconds 5 # 5. Nettoyage (géré dans la section suivante) -
Commandes de Nettoyage :
# ------------------------------------------------- # Nettoyage après la simulation # ------------------------------------------------- # Supprimez le faux Thunder.exe et le DLL factice de %TEMP% Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue # Arrêtez éventuellement tous les processus Thunder.exe toujours en cours Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force